Варіанти використання рішень для видимості мережі (visibility)
Що таке видимість мережі (Network Visibility)?
Видимість (Visibility) визначається словником Вебстера як «здатність легко поміченим» чи «ступінь ясності». Під видимістю мережі або програми мається на увазі видалення сліпих зон, які приховують здатність легко бачити (або кількісно визначати), що відбувається в мережі та/або додатках мережі. Ця видимість дозволяє ІТ-командам швидко ізолювати загрози безпеці та вирішувати проблеми з продуктивністю, що зрештою забезпечує найкращу взаємодію з кінцевим користувачем.
Ще одне розуміння — це те, що дозволяє ІТ-командам контролювати та оптимізувати мережу поряд із додатками та ІТ-сервісами. Ось чому видимість мережі, додатків та безпеки абсолютно необхідна для будь-яких ІТ-організацій.
Найпростіший спосіб досягти видимості мережі - це реалізувати архітектуру видимості (visibility architecture), яка є комплексною end-to-end інфраструктурою, що забезпечує в свою чергу видимість фізичної та віртуальної мережі, додатків та безпеки.
Закладка фундаменту мережевої видимості
Як тільки архітектура видимості буде створена, стане доступним безліч варіантів використання. Як показано нижче, архітектура видимості представляє три основні рівні видимості: рівень доступу, рівень управління та рівень моніторингу.
Використовуючи наведені елементи, ІТ-фахівці можуть вирішувати різні проблеми мережі та програм. Є дві категорії варіантів використання:
- Основні рішення видимості
- Повна видимість мережі
Основні рішення видимості орієнтовані на безпеку мережі, економію коштів та усунення несправностей. Це три критерії, що впливають на ІТ щомісяця, якщо не щодня. Повна видимість мережі покликана забезпечити глибше розуміння областей сліпих зон, продуктивності та відповідності нормативним вимогам.
Що можна справді робити з видимістю мережі (network visibility)?
Існує шість різних варіантів використання видимості мережі, які можуть чітко показати цінність. Це:
— Поліпшення безпеки мережі
— Надання можливостей стримування та зниження витрат
— Прискорення траблшутингу та підвищення надійності мережі
— Усунення сліпих зон мережі
— Оптимізація продуктивності мережі та додатків
— Зміцнення дотримання нормативних вимог
Нижче наведено деякі конкретні приклади використання.
Приклад №1 – фільтрація даних для рішень безпеки, що стоять у розрив мережі (in-line), підвищує ефективність цих рішень
Мета цього варіанта у використанні брокера мережевих пакетів (NPB – Network Packet Broker) для фільтрації даних з низьким ризиком (наприклад, відео та голос), щоб виключати їх з перевірки засобами безпеки (системою запобігання вторгненням (IPS), запобігання втраті даних (DLP)) , мережевим екраном для веб-застосунків (WAF) і т.д.). Цей «нецікавий» трафік може бути визначений і переданий на обхідний комутатор (by-pass switch) і відправлений далі в мережу. Перевага цього рішення полягає в тому, що WAF чи IPS не повинні витрачати ресурси процесора (ЦПУ) на аналіз непотрібних даних. Якщо ваш мережний трафік містить значний обсяг даних цього типу, ви можете реалізувати цю функцію та знизити навантаження на інструменти безпеки.
У компаній були випадки, коли до 35% мережевого трафіку з низьким рівнем ризику було виключено з перевірки IPS. Це автоматично збільшує ефективну смугу пропускання IPS на 35% і означає, що можна відкласти покупку додаткових IPS або апгрейд. Ми всі знаємо, що мережевий трафік збільшується, тому в якийсь момент вам знадобиться продуктивніший IPS. Це справді питання — чи хочете ви мінімізувати витрати, чи ні.
Приклад №2 – балансування навантаження продовжує життя пристроїв 1-10Гбіт/с у мережі 40Гбіт/с
Другий приклад використання включає зниження вартості володіння мережевим обладнанням. Це досягається за допомогою пакет-брокерів (NPB) для балансування трафіку на інструменти безпеки та моніторингу. Як балансування навантаження може допомогти більшості підприємств? По-перше, збільшення кількості мережного трафіку є дуже поширеним явищем. Але як щодо моніторингу впливу зростання пропускної спроможності? Наприклад, якщо ви модернізуєте ядро мережі з 1 Гбіт/с до 10 Гбіт/с, то вам знадобляться інструменти 10 Гбіт/с для коректного моніторингу. Якщо ви підвищите швидкість до 40 Гбіт/с або 100 Гбіт/с, то при таких швидкостях буде вибір інструментів моніторингу набагато меншим і вартість їх дуже висока.
Пакет-брокери надають необхідні можливості агрегації та балансування навантаження. Наприклад, балансування трафіку 40 Гбіт/с дозволяє розподілити трафік моніторингу між кількома інструментами 10 Гбіт/с. Після цього ви зможете продовжити термін служби пристроїв 10 Гбіт/с, доки не з'явиться достатньо коштів для придбання дорожчих інструментів, здатних справлятися з вищими швидкостями передачі даних.
Інший приклад – об'єднати інструменти в одному місці та передати їм необхідні дані від брокера пакетів. Іноді використовуються окремі рішення, розподілені по мережі. Дані опитування, проведеного компанією Enterprise Management Associates (EMA), показують, що 32% корпоративних рішень є недостатньо завантаженими, тобто менш ніж на 50%. Централізація інструментів та балансування навантаження дозволяють об'єднувати ресурси та збільшувати використання, використовуючи менше пристроїв. Ви можете часто відкладати придбання додаткових інструментів, поки коефіцієнт використання не стане досить високим.
Приклад №3 – траблшутинг для зменшення/усунення потреб у отриманні дозволів на зміни (Change Board permissions)
Після того, як обладнання для видимості (відгалужувачі (TAPs), NPB…) встановлено в мережі, вам рідко доведеться вносити зміни в мережу. Це дозволяє оптимізувати деякі процеси усунення несправностей, щоб підвищити ефективність.
Наприклад, після того, як TAP встановлено («встановив та забув») він пасивно передає копію всього трафіку в NPB. Це має величезну перевагу, оскільки усуває більшу частину бюрократичних нюансів – отримання схвалень для внесення змін до мережі. Якщо встановити брокер пакетів, миттєвий доступ буде практично до всіх даних, які потрібні для траблшутинга.
Якщо немає потреби вносити зміни, можна пропустити етапи узгодження змін та перейти безпосередньо до налагодження. Цей новий процес дуже впливає на скорочення середнього часу на відновлення (MTTR – Mean Time to Repair). Дослідження показують, що можна знизити MTTR до 80%.
Приклад №4 – Application Intelligence, застосування фільтрації додатків та маскування даних для підвищення ефективності безпеки
Що таке інтелект програм (Application Intelligence)? Ця технологія доступна у пакетів брокерів (NPB) IXIA. Це розширена функціональність, що дозволяє вийти за межі фільтрації пакетів рівня 2–4 (моделі OSI) та повністю перейти на рівень 7 (прикладний рівень). Перевага полягає в тому, що дані про поведінку та місцезнаходження користувачів та програм можуть створюватися та експортуватися в будь-якому необхідному форматі – необроблені пакети, відфільтровані пакети або інформація NetFlow (IxFlow). ІТ-відділи можуть виявляти приховані мережеві програми, зменшувати загрози мережевої безпеки, а також знижувати простої мережі та/або підвищувати продуктивність мережі. Відмінні особливості відомих та невідомих додатків можуть бути ідентифіковані, захоплені та передані спеціалізованим інструментам моніторингу та безпеки.
- ідентифікація підозрілих/невідомих додатків
- виявлення підозрілої поведінки з геолокації, наприклад, користувач із Північної Кореї підключається до Вашого FTP серверу та передає дані
- розшифровка SSL для перевірки та аналізу потенційних загроз
- аналіз неправильної роботи додатків
- аналіз кількості та зростання трафіку для активного управління ресурсами та прогнозування розширення
- маскування конфіденційних даних (кредитні картки, облікові дані…) перед відправкою
Функціонал Visibility Intelligence доступний як фізичним та віртуальним (Cloud Lens Private) пакет-брокерам IXIA (NPB), так і в публічних «хмарах» — Cloud Lens Public:
Крім стандартного функціоналу NetStack, PacketStack та AppStack:
Останнім часом було додано також функціонал безпеки SecureStack (для оптимізації обробки конфіденційного трафіку), MobileStack (для операторів мобільного зв'язку) та TradeStack (для моніторингу та фільтрації даних фінансового трейдингу):
Висновки
Рішення для видимості мережі – потужний інструмент, здатний оптимізувати архітектуру мережного моніторингу та безпеки, що створює фундаментальний збір та обмін необхідними даними.
Варіанти використання дозволяють:
- дати доступ до потрібних специфічних даних у міру необхідності для діагностики та траблшутингу
- додати/видалити рішення безпеки, моніторингу як in-line, так і out-of-band
- зменшити MTTR
- забезпечити швидке реагування на проблеми
- провести розширений аналіз загроз
- усунути більшість бюрократичних узгоджень
- зменшити фінансові наслідки злому, оперативно підключивши потрібні рішення до мережі та зменшивши MTTR
- скоротити вартість та трудовитрати з налаштування SPAN-порту
Джерело: habr.com